Petya
別名 | GoldenEye NotPetya |
---|---|
分類 | 特洛伊木馬 |
感染系統 | 勒索軟件 |
子類型 | 密碼病毒 |
感染系統 | Windows |
Petya是一種在2016年被首次發現的勒索軟件[2]。2017年6月,Petya的一個新變種「NotPetya」被用於發動一次全球性的網絡攻擊。[3][4][5][6][7][8]
此次攻擊類似在2017年5月爆發的WannaCry勒索攻擊,兩者都利用同一個已修復的Windows安全漏洞——EternalBlue(永恆之藍)。[9]烏克蘭可能是此次事件中遭受最嚴重影響的國家。[3]有觀點認為此次網絡攻擊是對烏克蘭的一次政治目的的攻擊[10],論據是6月28日為烏克蘭人的公眾假期憲法日。[10]
背景
[編輯]Petya於2016年3月發現[11];Check Point指出,相較於CryptoWall等2016年初活躍的其他蠕蟲病毒,感染數目要少,且執行過程中有值得注意的差別,導致Petya「進入蠕蟲病毒進化下一步時立即衰弱」[1]。2016年5月發現的另一個Petya變體附帶輔助的有效負載,若惡意軟件無法實現管理員層級的訪問時便會生效[11]。
名字Petya、Mischa和Goldeneye源於1995年占士·邦電影《新鐵金剛之金眼睛》。影片中,Petya和Mischa是武器衛星,每顆衛星都攜帶在低地球軌道引爆產生電磁脈衝的原子彈「新鐵金剛之金眼睛」。德國報紙《海因茨海斯》注意到疑似惡意軟件作者的Twitter帳戶,用了《新鐵金剛之金眼睛》中由英國演員亞倫·甘明扮演的大反派、俄羅斯黑客鮑里斯·基里申科(Boris Grishenko)的圖片作頭像[12] 。
2017年6月27日,全球大規模爆發了利用Petya新變種的網絡攻擊,最先表示受到攻擊的是烏克蘭公司[3]。當天,卡巴斯基實驗室報道稱法國、德國、意大利、波蘭、英國和美國都出現感染,但大部分感染都針對俄羅斯和烏克蘭,當中烏克蘭超過80家公司最先遭受攻擊,包括烏克蘭國家銀行[3][13]。ESET估計,80%的感染都出現在烏克蘭,位列第二的德國只有9%的感染[14]。俄羅斯總統弗拉基米爾·普京新聞秘書德米特里·佩什科夫表示俄羅斯受到的破壞並不嚴重[14]。專家認為,由於事發時機選在烏克蘭憲法日假期前夕,所以屬於針對烏克蘭的有政治動機的襲擊[15][16]。
卡巴斯基把這一變種稱為「NotPetya」,和早期的變種相比,NotPetya運作時差別極大。McAfee工程師克里斯蒂安·貝克(Christiaan Beek)聲稱該變體被設計得傳播特別快,目標「完全是能源公司、電力網、汽車站、加油站、機場和銀行」等基礎設施[3][17]。
芬氏安全分析師米科·赫佩根認為,「似乎事實上」被感染的烏克蘭納稅申辦程式「M.E.Doc」的修補程式在該國開展業務的公司之間傳播惡意軟件[14][18][19]。ESET分析發現,更新系統存在的後門在襲擊前至少存在六個星期,稱襲擊是「深思熟慮且乾淨利落的行動」[20]。程式開發商否認他們要對襲擊負全責,表示他們也是受害者[18][21][22][23]。
2017年7月4日,烏克蘭網絡犯罪部門查繳了「M.E. Doc」公司的伺服器,據認為,他們偵測到的「新活動」會引起惡意軟件「不受控制的擴散」。警方建議軟件用戶停止使用,假定它依然存在後門[20][24]。分析繳獲伺服器,發現自2013年軟件沒有更新過,有「俄羅斯插手的證據」,伺服器上的員工帳戶已經被攻陷。部門負責人警告稱,M.E.Doc維護伺服器安全時疏忽大意,要附上刑事責任[25][23][20]。
運作
[編輯]Petya利用有效負載感染電腦的主開機紀錄(MBR),覆蓋Windows引導程式,隨後觸發重新啟動。下次重新啟動,有效負載執行,加密NTFS檔案系統的主檔案表,顯示要求支付比特幣贖金的勒索資訊[26][11][27]。在此過程中會輸出據信是Windows檔案系統掃描器chkdsk的文字,顯示在螢幕上,暗示正在修復硬碟機磁區[1]。原本的有效負載需要用戶授予其管理權限,但Petya的一個變體捆綁了另一個有效負載Mischa,如果Petya無法安裝,Mischa就會執行。Mischa是更加傳統的勒索軟件有效負載,用途是加密用戶文件和可執行檔案,並不需要管理權限來執行[11]。Petya的初級版本會將它的有效負載偽裝成PDF檔案,附在電郵中[11]。
2017年攻擊中使用的「NotPetya」變體使用了「永恆之藍」漏洞佔據Windows伺服器訊息區塊協定的安全隱患。普遍認為,永恆之藍由美國國家安全域開發[27],於2017年4月的WannaCry攻擊事件中被公之於眾[28][27]。該惡意軟件採用多項技術傳播給同一網絡下的其他電腦,其中包括收集密碼,配合PSExec在其他本地電腦上執行代碼[29][30][31]。另外,儘管仍然是勒索軟件,但是加密程式被修改,惡意軟件所做的變更無法從技術層面上恢復[32]。WannaCry的解鎖費用相對較低,為300美元,使用單一固定的比特幣錢包收集贖金,而不是對每個特定的感染產生唯一的ID進行追蹤[33]。連同其他不尋常的跡象,相比之下,研究人員推測,這番攻擊並不是一場創造利潤的風投活動,而是為了迅速損壞裝置,岔開WannaCry聲稱為勒索軟件而獲得的媒體關注度[34][35]。
減弱
[編輯]受感染的電腦在出現虛假的chkdsk螢幕時立即關閉,很有可能會中斷感染過程。安全分析師推測,在Windows安裝目錄中建立名為「perfc」或(含)「perfc.dat」的唯讀檔案可以阻止目前的有效載荷執行[36][37][38][39]。勒索螢幕上出現的電郵地址因違反使用條款,被提供商Posteo封號。結果受感染的用戶實際上無法向犯罪者傳送所需的支付確認信[33]。
微軟在2017年3月已經向受支援的Windows版本發佈修補程式解決永恆之藍漏洞。隨後又在2017年5月向Windows XP等不受支援的Windows版本發佈修補程式[40][41]。《連線》雜誌認為「儘管Petya迄今為止造成的損害程度非常的大,但似乎很多推遲推出修補程式程式,儘管類似的勒索程式傳播有着明顯且潛在的破壞性威脅[42]。」有些企業認為,基於可能的停機時間或相容性問題在某些系統上安裝更新也具有破壞性,這在某些情形下可能是有問題的[40]。
2017年7月5日,因為NotPetya肆虐,Petya作者在mega.nz釋出了金鑰,參照1995年占士·邦電影《新鐵金剛之金眼睛》的『They're right in front of you and can open very large doors(他們就在你的前面,你可以用來打開任何的門)』。
影響
[編輯]烏克蘭、俄羅斯、波蘭、意大利、德國、法國、英國、美國等許多國家在此次事件中遭受到攻擊。[3]烏克蘭和俄羅斯受到的影響最大,兩國有超過80家公司遭到攻擊。[13]
切爾諾貝爾核電站的輻射監測系統在遭到攻擊後離線。[43]烏克蘭的多個部門、銀行、地鐵系統和多家國有企業也受到影響,其中包括:鮑里斯波爾國際機場、烏克蘭電信、烏克蘭郵政、烏克蘭國家儲蓄銀行、烏克蘭鐵路。[44]
其他受影響的公司包括:英國廣告公司WPP集團[45]、Maersk Line[46],美國製藥公司默克藥廠,俄羅斯石油公司俄羅斯石油,跨國律師事務所DLA Piper[45],西班牙食品公司億滋國際,法國建築公司聖戈班,以及美國的醫院運營商Heritage Valley Health System等。[3][47]
反應
[編輯]歐洲刑警組織稱已意識到並且緊急響應歐盟成員國遭到網絡攻擊的報告。[13]美國國土安全部已介入並協調其國際和地區合作方[46]。民主黨國會議員劉雲平致函國家安全域[48],讓該機構更為積極地和科技公司合作尋找軟件漏洞,幫助他們預防未來由國安局製造的惡意軟件引發的襲擊[31][49]。
命名爭議
[編輯]卡巴斯基實驗室2017年6月27日的聲明認為此次攻擊中使用的惡意程式並非「Petya」病毒變種,而是一種新型勒索病毒,他們將其命名為NotPetya。[50]但保安軟件開發商Bitdefender與火絨安全在其公告中認為此次擷取勒索病毒仍屬於「Petya」病毒變種。
參見
[編輯]參考資料
[編輯]- ^ 1.0 1.1 1.2 Decrypting the Petya Ransomware. Check Point Blog. 2016-04-11 [2017-06-27]. (原始內容存檔於2017-06-30).
- ^ 中了加密勒贖軟體Petya別緊張,專家釋出破解方法. ithome.com.tw. 2016-04-12 [2017-06-27]. (原始內容存檔於2017-07-01).
- ^ 3.0 3.1 3.2 3.3 3.4 3.5 3.6 Global ransomware attack causes chaos. BBC News. 2017-06-27 [2017-06-27]. (原始內容存檔於2017-06-27).
- ^ 新型勒索病毒 Petya 在歐洲爆發並迅速蔓延!這次鎖定的目標是銀行、機場和公家機關電腦. T客邦. PC home電腦家庭. 2017-06-27 [2017-06-27]. (原始內容存檔於2017-06-28).
- ^ 勒索病毒再攻击欧洲多国 乌克兰:规模前所未见. 中新社. 中國新聞網. 2017-06-27 [2017-06-27]. (原始內容存檔於2017-06-28).
- ^ 勒索病毒席捲歐洲 烏克蘭銀行癱瘓. 蘋果日報. 2017-06-28 [2017-06-28]. (原始內容存檔於2017-07-07).
- ^ WannCry惨剧重演 勒索病毒横扫欧美 比特币遭殃. 華爾街見聞. [2017-06-27]. (原始內容存檔於2017-07-08).
- ^ 快科技. 微软揭秘Petya勒索病毒背后真相:只感染了2万台电脑. 鳳凰資訊. [2017-07-01]. (原始內容存檔於2019-02-17).
- ^ Petya ransomware outbreak: Here’s what you need to know. Symantec Security Response. 2017-06-27 [2017-06-27]. (原始內容存檔於2017-06-29).
- ^ 10.0 10.1 Lee, David. 'Vaccine' created for huge cyber-attack. BBC News. 2017-06-28 [2017-06-28]. (原始內容存檔於2019-08-17) (英國英語).
- ^ 11.0 11.1 11.2 11.3 11.4 Constantin, Lucian. Petya ransomware is now double the trouble. NetworkWorld. [2017-06-27]. (原始內容存檔於2017-07-31).
- ^ Scherschel, Fabian A. Petya, Mischa, Goldeneye: Die Erpresser sind Nerds. Heise Online. 2016-12-15 [2017-07-03]. (原始內容存檔於2017-09-22) (德語).
- ^ 13.0 13.1 13.2 Turner, Giles; Verbyany, Volodymyr; Kravchenko, Stepan. New Cyberattack Goes Global, Hits WPP, Rosneft, Maersk. Bloomberg. 2017-06-27 [2017-06-27]. (原始內容存檔於2019-11-05).
- ^ 14.0 14.1 14.2 Tax software blamed for cyber-attack spread. BBC Newsv. 2017-06-28 [2017-06-28]. (原始內容存檔於2019-06-16).
- ^ Cyberattack Hits Ukraine Then Spreads Internationally. The New York Times. 2017-06-27 [2017-06-28]. (原始內容存檔於2017-06-27).
- ^ Lee, David. 'Vaccine' created for huge cyber-attack. BBC News. 2017-06-28 [2017-06-28]. (原始內容存檔於2019-08-17).
- ^ Burgess, Matt. There's another 'worldwide' ransomware attack and it's spreading quickly. Wired UK. [2017-06-27]. (原始內容存檔於2017-06-27).
- ^ 18.0 18.1 Microsoft, Analysts See Hack Origin at Ukrainian Software Firm. Bloomberg. 2017-06-28 [2017-07-01]. (原始內容存檔於2017-06-28).
- ^ Jack Stubbs, Pavel Polityuk. Family firm in Ukraine says it was not responsible for cyber attack. Reuters. 2017-07-03 [2017-07-05]. (原始內容存檔於2017-07-04).
- ^ 20.0 20.1 20.2 Hern, Alex. Hackers who targeted Ukraine clean out bitcoin ransom wallet. The Guardian. 2017-07-05 [2017-07-10]. ISSN 0261-3077. (原始內容存檔於2017-07-10) (英國英語).
- ^ A new ransomware outbreak similar to WCry is shutting down computers worldwide. Ars Technica. [2017-07-01]. (原始內容存檔於2017-06-30).
- ^ Frenkel, Sheera. Global Ransomware Attack: What We Know and Don’t Know. The New York Times. 2017-06-27 [2017-06-28]. (原始內容存檔於2017-06-27).
- ^ 23.0 23.1 Ukrainian software company will face charges over cyber attack, police suggest. AP. 2017-07-03 [2017-07-10]. (原始內容存檔於2017-07-10) (澳大利亞英語).
- ^ Backdoor built in to widely used tax app seeded last week’s NotPetya outbreak. Ars Technica. [2017-07-10]. (原始內容存檔於2017-07-08) (美國英語).
- ^ Jack Stubbs, Matthias Williams. Ukraine scrambles to contain new cyber threat after 'NotPetya' attack. Reuters. 2017-07-05 [2017-07-07]. (原始內容存檔於2017-07-07).
- ^ New ransomware outbreak. Kaspersky Blog. Kaspersky Lab. [2017-06-27]. (原始內容存檔於2017-06-27).
- ^ 27.0 27.1 27.2 Brandom, Russell. A new ransomware attack is hitting airlines, banks and utilities across Europe. The Verge. 2017-06-27 [2017-06-27]. (原始內容存檔於2017-07-02).
- ^ Goddin, Dan. NSA-leaking Shadow Brokers just dumped its most damaging release yet. Ars Technica: 1. 2017-04-14 [2017-05-13]. (原始內容存檔於2017-05-13).
- ^ India worst hit by Petya in APAC, 7th globally: Symantec. The Economic Times. 2017-06-29 [2017-06-29]. (原始內容存檔於2017-06-29).
- ^ Petya Ransomware Outbreak Originated in Ukraine via Tainted Accounting Software. BleepingComputer. [2017-06-29]. (原始內容存檔於2017-06-28) (美國英語).
- ^ 31.0 31.1 Hatmaker, Taylor. In aftermath of Petya, congressman asks NSA to stop the attack if it knows how. Tech crunch. 2017-06-28 [2017-06-29]. (原始內容存檔於2017-06-29).
- ^ Petya.2017 is a wiper not a ransomware – Comae Technologies. Comae Technologies. 2017-06-28 [2017-06-29]. (原始內容存檔於2017-06-28).
- ^ 33.0 33.1 Brandom, Russell. It’s already too late for today’s ransomware victims to pay up and save their computers. The Verge. 2017-06-27 [2017-06-28]. (原始內容存檔於2017-06-27).
- ^ Tuesday’s massive ransomware outbreak was, in fact, something much worse. Ars Technica. [2017-06-28]. (原始內容存檔於2017-07-17) (美國英語).
- ^ Cyber-attack was about data and not money, say experts. BBC News. 2017-06-29 [2017-06-29]. (原始內容存檔於2019-08-05) (英國英語).
- ^ Cimpanu, Catalin. Vaccine, not Killswitch, Found for Petya (NotPetya) Ransomware Outbreak. Bleeping Computer. [2017-07-16]. (原始內容存檔於2017-07-13).
- ^ Rogers, James. Petya ransomware: Experts tout 'vaccine' to protect computers from crippling cyber attack. Fox News. 2017-06-28 [2017-06-29]. (原始內容存檔於2017-06-28).
- ^ Security researcher creates 'vaccine' against ransomware attack. The Telegraph. [2017-06-29]. (原始內容存檔於2017-06-28).
- ^ Lee, Dave. 'Vaccine' created for huge cyber-attack. BBC News. 2017-06-28 [2017-06-29]. (原始內容存檔於2017-06-28).
- ^ 40.0 40.1 Whittaker, Zack. Six quick facts to know about today's global ransomware attack. ZDNet. [2017-06-29]. (原始內容存檔於2017-06-29).
- ^ Warren, Tom. Microsoft issues ‘highly unusual’ Windows XP patch to prevent massive ransomware attack. The Verge. Vox Media. 2017-05-13 [2017-05-13]. (原始內容存檔於2017-05-14).
- ^ A Scary New Ransomware Outbreak Uses WannaCry's Old Tricks. Wired. [2017-06-29]. (原始內容存檔於2017-06-27).
- ^ Griffin, Andrew. Chernobyl's radiation monitoring system has been hit by the worldwide cyber attack. The Independent. 2017-06-27 [2017-06-27]. (原始內容存檔於2017-06-27) (英國英語).
- ^ Jacob Kastrenakes. Petya virus is something worse than ransomware, new analysis shows. theverge. 2017年6月28日 [2017年6月29日]. (原始內容存檔於2017年7月9日).
- ^ 45.0 45.1 Scott, Mark; Perlroth, Nicole. New Cyberattack Spreads in Europe, Russia and U.S.. The New York Times. 2017-06-27 [2017-06-27]. ISSN 0362-4331. (原始內容存檔於2018-04-13) (美國英語).
- ^ 46.0 46.1 'Petya' Cyberattack Cripples Ukraine, And Experts Say It's Spreading Globally. NPR. 2017-06-27 [2017-06-27]. (原始內容存檔於2017-06-27) (英語).
- ^ Henley, Jon; Solon, Olivia. 'Petya' ransomware attack strikes companies across Europe and US. The Guardian. 2017-06-27 [2017-06-27]. ISSN 0261-3077. (原始內容存檔於2017-06-27) (英國英語).
- ^ Lieu, Ted. Letter to NSA director (PDF). House. [201-06-29]. (原始內容存檔 (PDF)於2017-07-06).
- ^ New computer virus spreads from Ukraine to disrupt world business. Reuters. 2017-06-29 [2017-06-29]. (原始內容存檔於2017-06-28).
- ^ 澎湃新聞網. 卡巴斯基:此轮病毒攻击并非“Petya”病毒变种. 網易科技. [2017-06-28]. (原始內容存檔於2019-02-17).